我知道活動目錄中安全群組和通訊群組的基本用途。安全群組用於存取網路資源,通訊群組用於傳送郵件通訊群組清單。但我的疑問是,安全群組也可用於使用啟用郵件的安全群組將郵件分發到該群組。如果安全群組既用於安全又用於分發郵件,那麼為什麼需要在活動目錄中使用分發群組?
答案1
安全性群組最終位於使用者(或電腦)的 Kerberos 令牌中,因此您可以根據群組成員身分指派權限。
但是,Kerberos 令牌有最大大小限制,並且如果使用者屬於多個群組,就會發生奇怪的事情
[...]進行身份驗證時,使用者可能會看到諸如HTTP 400 - 錯誤請求(請求標頭太長)之類的訊息。無法正確更新。
登入可能也徹底失敗
[...]由於以下錯誤,系統無法讓您登入:在嘗試登入期間,使用者的安全上下文累積了太多安全 ID。請重試或諮詢您的系統管理員。
這種情況一般被稱為“代幣膨脹”
通訊群組不會新增至 Kerberos 令牌(這就是您無法根據通訊群組授予/拒絕權限的原因),從而避免增加使用者令牌的大小。
簡而言之,請謹慎使用安全群組,因為您肯定不希望達到每個使用者的最大組數!